시리즈

[기획⑥] 금융 블록체인, ‘성능과 보안’ 과연 신뢰할만한가

박기록
* 본 특집 기사는 <디지털데일리>가 6월30일 발간한 '디지털금융 혁신과 도전 (2018년판)'에 게재된 원고중 일부를 요약한 것입니다. 서술 시점상, 책의 내용과 일부 다를 수 있습니다.
 미국 샌프란시스코에서 올해 4월 열렸던 글로벌보안 컨러런스 ‘RSA 2018’ 행사. 올해 행사에선 ‘블록체인 보안’ 시장에 대한 글로벌 보안업계의 관심이 강력하게 분출됐다.
미국 샌프란시스코에서 올해 4월 열렸던 글로벌보안 컨러런스 ‘RSA 2018’ 행사. 올해 행사에선 ‘블록체인 보안’ 시장에 대한 글로벌 보안업계의 관심이 강력하게 분출됐다.

[기획] 금융 블록체인, 시스템 속도와 성능, 보안에 문제는 없나
- 블록체인 기반 시스템, 테스트 결과치 아직은 불충분…시범사업 등 결과 지켜봐야
- 속도와 관계없는 보험계약 등 블록체인 우선 적용할 업무 많아
- “블록체인 보안에 지나친 낙관, 경계해야” 신중론

[디지털데일리 이상일, 최민지기자] 국내 주요 금융회사들에게 블록체인은 매우 중요한 '혁신'의 키워드다. 블록체인에 기반한 다양한 혁신적인 업무시스템을 구상하고 있다.

그러나 블록체인이 만병통치약은 아니다. 오히려 들어가면 갈수록 눈에 보이지 않았던 리스크에 직면할 수 있다. 또한 보안측면에서도, 이론적으론 블록체인이 보안에 완벽하다고 얘기하지만 이러한 시각 자체를 경계하는 목소리도 적지 않다.

먼저, 블록체인 네트워크를 중심으로 한 지급결제시스템의 경우 아직 ‘속도’의 문제가 남아있다. 지난해 9월21일부터 올해 1월12일까지 약 3개월여 동안 한국은행 산하 금융정보화추진협의회가 분산원장기술(Distributed Ledger Technology) 기반 은행 간 자금이체 모의테스트를 진행했다.

이 테스트에서는 주로 자금이체시스템의 효율성, 회복성, 보안성, 확장성에 평가가 맞춰졌다. 이 결과 효율성이나 복원력 측면에서 아직 미흡한 것으로 나타났다. 속도가 중요한 국내 금융권의 정서에선 좀 예민하게 받아 들여질 수 있는 문제다. 블록체인이 IT비용 절감 효과가 있더라도 속도가 느려진다면 재고해야할 사안이다.
 한국은행 블록체인 기반 ‘은행간 자금이체’ 시범사업(자료:LGCNS)
한국은행 블록체인 기반 ‘은행간 자금이체’ 시범사업(자료:LGCNS)

그러나 이 테스트에서 제기된 블록체인의 속도 문제는 '해결 가능하다'는 것이 관련 IT업계의 분석이다. 또 한국은행 테스트의 경우, 기업용 블록체인 플랫폼을 이용한 것이 아니라 ‘범용 블록체인 플랫폼’을 활용했기 때문에 나타난 결과라는 점을 고려해야한다는 지적이다.

이와관련 블록체인 전문가는 “금융권에서 폐쇄적 형태의 '프라이빗 블록체인'으로 시도했다면 시스템 개선을 위한 커스터마이징이 충분히 가능하다”고 설명하고 있다. 이럴 경우 금융시스템의 속도 문제는 어렵지않게 해소될 수 있다는 주장이다.

현재 상황에선 갑론을박이 있을 수 있다. 하지만 아직 국내 금융 지급결제시스템 부문에선 블록체인 기반의 여러 업무에 대해 충분한 테스트가 이뤄지지 않았다. 이는 앞으로 금융 블록체인 시범 사업들을 통해 이 부분은 정교하게 검증해 내야할 과제다. 빠르면 올 해 하반기부터 시범 사업들을 통해 관련한 의미있는 데이터가 쌓일 것으로 예상된다.
만약 금융권에서 지급결제 처리와 관련한 '속도'의 문제를 일단 논외로 놓는다면, 블록체인은 다양한 업무에서 활용이 가능할 것으로 보인다.

그 대표적인 것중의 하나가 보험금 청구, 심사, 지급분야다. 코다(Corda)기반의 블록체인 플랫폼을 제시하고 있는 LG CNS에 따르면, 블록체인 네트워크 및 스마트계약은 질병상해 진료비 청구 및 심사 프로세스를 자동화하고, 소액보험금의 간편 청구 및 자동 지급을 가능케 하며 보험금 청구 서류의 위변조 및 이중지불을 방지할 수 있다.

국내 소액보험금 청구는 연간 1,622만건으로 전체 보험청구 건수의 65.6%에 달하지만 절차의 번거로움 때문에 소액보험금 청구를 포기하는 경우가 적지않다. 병원과 보험사, EDI업체를 연계하는 블록체인 네트워크가 구축되면 보험금 청구 증빙자료 위, 변조 및 사본 남용을 방지할 수 있어 보험금 중복 청구를 원천 봉쇄할 수 있다. 또 보험금 청구 증빙자료 발행 프로세스 자동화해 고객의 시간과 비용을 절감할 수 있다.
블록체인 기반 보험금 자동산정 프로세스 (자료 : LG CNS)
블록체인 기반 보험금 자동산정 프로세스 (자료 : LG CNS)

지난해 4월 블록체인 기술에 대비하기 위해 전체 생보사를 대상으로 블록체인 컨소시엄 구성을 타진해왔다. 이후 총 19개사가 컨소시엄에 참여하기로 한 상황이다. 사업의 주요 내용으로는 은행과 증권사들과 마찬가지로 본인인증 시스템이 될 것으로 보인다. 또 보험금 중복 청구, 과다 진료, 보험사기 관련 서비스 발굴도 검토될 것으로 보인다.

◆IT기업들 ‘금융 블록체인’ 시장 공세

블록체인은 차세대 인터넷으로 불릴 만큼 세계적인 주목을 받고 있다. 당연히 글로벌 IT대기업의 움직임도 심상치 않다. 클라이언트/서버 시대에서 인터넷으로 IT시장이 진화하면서 아마존, 구글, 페이스북 같은 대기업이 탄생한 것을 지켜본 IT업계는 블록체인이 차세대 인터넷으로서 가능성을 보이는 상황에서 시장 선점에 나선 상황이다.

현재 글로벌 IT대기업 가운데선 IBM과 마이크로소프트(MS), 오라클 등의 행보가 돋보인다. 블록체인을 서비스형 블록체인(BaaS)과 같은 클라우드 플랫폼과 연계해 신성장동력으로 삼겠다는 전략이다.

IBM은 전세계 600곳 이상의 고객들과 블록체인 프로젝트를 진행 중이다. 이중 가장 활발하게 움직이고 있는 곳이 ‘무역금융’이다. 신용장을 통해 물건을 보내고 대금을 지급하는 과정을 단순화하고 추적이 가능하게 하고 있다. IBM은 ‘디지털 트레이드 체인’, ‘미즈호’ 등과 무역금융을 ‘AIG’와 ‘스탠다드차타드’와 리스크 축소, ‘FDA’와 의약건강 데이터 교환 등 다양한 산업군을 아우른다.

글로벌 결제 시장에 대한 시험도 진행하고 있다. IBM 유니버설 페이먼트 솔루션(IUPS)는 신흥국가간 외환송금업무를 중계은행을 거치지 않고 중계 브릿지 역할로 디지털 자산을 활용한 청산 결제 네트워크를 제시하고 있다. 아시아 은행을 중심으로 준 실시간 및 결제를 지원하고 지난해 4분기, 운영을 위한 파일럿을 수행한 바 있으며 올해 안에 아시아뿐만 아니라 전 세계 은행을 하나로 묶을 계획이다.
IBM은 일찍이 리눅스 재단과 ‘하이퍼렛저’라는 블록체인 오픈소스 프로젝트를 주도하고 있다. 모든 산업에서 범용적 이용이 가능한 블록체인 플랫폼 개발이 목적이다. 국내에서도 한국거래소, 코스콤 등이 하이퍼렛저 프로젝트에 참여하고 있다.

SAP와 오라클도 ‘클라우드 블록체인 서비스’에 가세했다. SAP는 지난해 말 ‘SAP 블록체인 공동혁신 이니셔티브’를 만들었다. ‘SAP 클라우드 플랫폼 블록체인 서비스’를 이용해 디지털 장부(digital ledger)를 IoT, 제조 및 디지털 공급망 솔루션과 통합할 계획이다.
▶사진설명 (2018.2.13.) 하나금융 – 오라클 ‘블록체인’ 협력. 하나금융그룹은 올해 2월, 싱가포르에서 오라클과 ‘GLN'구축 및 공동 마케팅을 위한 전략적 제휴를 체결했다. 하나금융의 비즈니스 노하우와 오라클의 기술을 통해 블록체인, 멤버십, E-머니, AI 등 신기술 영역을 공동 개발하고, 디지털자산 교환 등 프로젝트의 결과물은 모듈화해서 판매하기로 했다.
▶사진설명 (2018.2.13.) 하나금융 – 오라클 ‘블록체인’ 협력. 하나금융그룹은 올해 2월, 싱가포르에서 오라클과 ‘GLN'구축 및 공동 마케팅을 위한 전략적 제휴를 체결했다. 하나금융의 비즈니스 노하우와 오라클의 기술을 통해 블록체인, 멤버십, E-머니, AI 등 신기술 영역을 공동 개발하고, 디지털자산 교환 등 프로젝트의 결과물은 모듈화해서 판매하기로 했다.

하나금융과 블록체인 관련 연구소 설립 협력을 발표한 오라클은 지난 2017년 ‘오픈월드 2017’를 통해 블록체인 클라우드 서비스를 공개했다. 오라클은 자신들의 강점인 데이터베이스관리시스템(DBMS)를 온프레미스와 클라우드, 하이브리드 클라우드 등과 블록체인으로 연결하는 프로젝트를 진행 중으로 서비스형 소프트웨어(SaaS)와 서비스형 플랫폼(PaaS) 등 클라우드를 적극 활용할 계획이다.

오라클은 오라클 블록체인 클라우드 서비스를 통해 기존에 오라클이 가지고 있던 기업용 애플리케이션 영역을 융합하려 하고 있다. 2017년 8월 하이퍼렛저 프로젝트에 합류한 오라클은 이를 통해 엔터프라이즈급의 블록체인 플랫폼을 클라우드 기반으로 제공한다.

마이크로소프트(MS)는 블록체인 기술을 활용해 탈중앙화된 인증 시스템 구축에 초점을 맞추고 있다. 지난 2015년부터 블록체인을 서비스 형태로 제공하는 것을 준비해 온 MS는 2016년 첫 블록체인 플랫폼(BaaS)인 ‘브렛츨리 1.0’을 출시하기도 했다. 이후 지난해 8월에는 기업 운영에 최적화된 ‘코코 프레임워크’를 공개했다. 코코 프레임워크는 성능과 보안을 강화해 기업이 블록체인을 쉽게 적용할 수 있도록 한 것으로 초당 1600건 이상의 트랜잭션 처리가 가능하다. 올해 중 깃허브를 통해 오픈소스로 공개할 예정이다. 고객 데이터센터나 클라우드 환경에서 모두 활용할 수 있다.

MS의는 자사 클라우드 서비스인 애저에서 브렛츨리 탬플릿을 사용하면 평균 3주가 걸리는 블록체인 네트워크를 15분 내로 구축, 배포할 수 있다고 강조했다. 블록체인 기반 사용자 인증 시스템을 개발도 추진 중이다. 한국MS 측은 “보험이나 금융, 보석·금과 같은 고가품 유통 분야에 블록체인 기술이 빠르게 적용돼 높은 효과를 거둘 수 있을 것”이라며 “총기난사사건이 빈번한 미국의 경우, 블록체인 기술을 통해 총기잠금장치를 통제할 수 있는 등 여러 사회문제 해결도 가능하다”고 내다봤다.

국내 블록체인 시장은 이미 다양한 사업군이 형성되어 있으며, 업체 수와 영역의 다양성 모두에 있어 빠르게 성장하고 있다.

국내 블록체인 스타트업의 짧은 역사에도 불구하고, 다양한 영역에서 블록체인 기반 프로젝트들이 진행되고 있다. 국내의 경우 IT서비스업체들이 블록체인 사업에 뛰어들고 있지만 사업 초기에는 블록체인 스타트업과 협력해 기술과 서비스 융합을 타진한 바 있다.

블록체인 스타트업으로 시장에 잘 알려진 블로코의 경우 금융보안원과 금융결제원의 블록체인 테스트 베드 사업 수주는 물론, 은행연합회가 추진 중인 ‘은행 공동 블록체인 인증 시스템 구축 사업’에 자사 블록체인 플랫폼인 코인스택을 공급했다.

블록체인 기술이 중개인 없이도 거래 무결성과 신뢰도를 담보할 수 있는 기술로 평가받기 시작하며, 작년말부터 카드사나 부가통신망 사업자(VAN), 전자결제대행사(PG)가 지속적인 관심을 보이고 있다. 현재 국내 카드사 중 일부가 블로코의 코인스택을 도입했으며, 블록체인 킬러 서비스를 출시하기 위해 통합인증(SSO)이나 포인트 거래, 바우처, 간편 전자청약 등 다양한 분야에 접목을 시도 중이다.

자본시장 IT업체인 코스콤도 블록체인 연구 개발에 적극 나서고 있다. 코스콤은 자체적으로 블록체인을 기반으로 한 자본시장 IT 인프라 구축을 염두에 두고 플랫폼 개발을 진행하고 있으며, 최근 블록체인을 활용한 펀드(수익증권) 양수도 개념증명에 성공했다.

또, 코스콤은 한국IBM과 블록체인 업무협력을 위해 손을 잡았다. 양 사는 ‘블록체인 사업 및 생태계 조성을 위한 MOU를 체결했다. 협력분야는 ▲글로벌 블록체인 프로젝트 ‘하이퍼레저(Hyperledger)’ 생태계 구축 및 확산을 위한 기술 교류 ▲자본시장 블록체인 플랫폼 개발 및 사업 협력 ▲블록체인 개발자 양성 및 교육실습 환경 제공을 위한 ‘이노베이션 랩’ 구성 ▲대외 사업 공동 추진을 통한 블록체인 사업 다각화 및 수익 창출 등이다. 또한 자본시장에 특화된 블록체인 플랫폼 및 블록체인 기반 레그테크(RegTech) 사업에 대해서도 협력해 나가는 한편, 자본시장 분야 외 블록체인 사업을 공동 추진해 나간다는 방침이다.

◆블록체인 보안, 과연 어느정도 신뢰할 수 있을까

블록체인은 신뢰 기반 프로토콜이다. 네트워크 내 모든 참여자가 공동으로 거래 정보를 검증, 기록, 보관함으로써 공인된 제3자 없이도 거래기록의 신뢰성을 확보하는 기술이다. 비즈니스의 효율성을 확보한다는 점도 블록체인의 특징으로 꼽히지만, 이처럼 주요 키워드가 ‘신뢰’인만큼 사실상 ‘보안’을 담보하고 있는 기술로 대부분 인식하고 있다.

분산된 구조로 악의적 공격과 장애에 안전하고, 정보의 공유로 데이터의 위·변조가 불가능하다는 주장도 쉽게 찾아볼 수 있다.

그렇다면, 정말 블록체인만으로 안전과 보안을 담보할 수 있을까? 보안을 이야기할 때 “100% 안전하다”고 말하는 상대는 사기꾼에 가깝다는 것이 보안업계의 정설이다. 그만큼 완전무결한 보안은 없다.
 자료: SK인포섹
자료: SK인포섹

블록체인이라고 다르지 않다. 물론, 블록체인 시스템이 기존보다 좀 더 높은 신뢰성을 갖추고 다양한 산업분야에 활용될 소지는 높다. 하지만 보안위협은 다양한 경로를 통해 진행되는 만큼 블록체인 비즈니스에서 블록체인 보안에 대한 고려는 필수적이다.

아무리 블록체인을 활용해도 해킹과 위조 등의 위협을 완벽하게 방어하기는 어렵다. 위조는 블록체인에서도 사용자 권한만 획득하면 가능한 시나리오다. 블록체인 사용자 권한은 각 노드의 개인키 등이다. 그것을 누군가가 훔쳐가는 행위는 해킹이다.

중앙 시스템과 다르게 블록체인은 각각의 노드가 하나의 중요한 구성요소다. 수많은 노드가 해커가 침투하는 경로가 될 수 있다. 중앙시스템에서는 각 노드에 대해 동일한 수준으로 통제할 수 있지만, 분산시스템에서는 그렇지 않다. 노드가 보안 위협요소가 된다면, 해킹은 가능하다.

또, 블록체인은 개방된 시스템이라 데이터 암호화 문제를 해결하지 않으면 프라이버시 문제로 넘어갈 수밖에 없다. 개인정보를 보호하기 위해 암호화를 하게 되면, 암호키 관리에 대한 문제가 생긴다. 공통키로 하면 블록체인의 의미가 사라질 수 있다. 해법이 어렵다 보니 데이터를 별도 저장소에 보관하려는 움직임도 보인다.

EU산하 정보보호기구인 ENISA 보고서에도 블록체인 도입 때 살펴야 하는 보안사항으로 ▲키 관리 ▲거래 검증 및 합의 ▲참여자 권한 관리 ▲블록체인 소프트웨어 보안 ▲서비스 보안 등을 꼽았다. 키 관리에 있어서는 도난·분실, 취약한 키 생성의 위협을 갖고 있다. 공격자에게 키를 도난당하거나 분실된 키가 악용되면 자산·기밀 거래 메시지가 유출될 수 있다. 취약한 키 생성 알고리즘으로 인해 키 재생성 공격이 가능하게 될 때도 마찬가지다.
보안 7개 자율규제안과 보안대응 전략 (자료: SK인포섹)
보안 7개 자율규제안과 보안대응 전략 (자료: SK인포섹)

거래 검증 및 합의에 있어서는 합의 가로채기 문제가 있다. 참여자 중 과반수 또는 운영주체를 장악해 블록체인 합의 과정을 조작할 수 있다. 메인 체인에서 유효하지 않은 자산이 사이드 체인에서 거래될 가능성도 배제할 수 없다. 참여자 권한 관리의 경우, 거래정보에 대한 참여자의 접근권한 관리 부족 때 개인정보를 침해할 수 있다. 참여자의 내·외부 권한 관리 부족 때 금융회사 및 내부 직원에 의한 보안사고도 나타날 수 있다.

블록체인 소프트웨어에 보안 취약점이 존재하면 키 도난, 합의조작, 디도스(DDoS) 공격 등에 악용된다. 스마트 컨트랙트에 취약점이 있다면 자산 유출, 개인정보 침해, 디도스 공격 등에 노출된다. 블록체인은 디도스 공격에 아주 취약한데, 특정 노드단을 공격하면 그 노드단에 물려있는 노드들이 막혀버리면서 상당한 어려움에 빠지게 된다.

이를 방지할 수 있는 요소들이 같이 적용돼야 한다. 다수 참여자가 악성코드 등을 통해 공격자에게 장악된다면 대량의 스팸거래를 발생시켜 블록체인 서비스를 중단시킬 수도 있다. 블록체인 처리속도 한계, 거래정보 급증으로 인한 가용성 저하 문제도 예상 가능하다.

비정상거래에 대한 사전 탐지·차단 기술이 갖춰지지 않는다면 사기거래, 자금 세탁, 이중지불 등의 거래도 발생하게 된다. 블록체인 간 자산교환, 기능 확장 등 연계 필요 때 책임 주체 및 표준규격이 명확하지 않아 예상치 못한 보안위협에 휘말릴 수 있다.

블록체인에 대한 안전성은 검증됐다고 치더라도, 블록체인 플랫폼에 대한 안전성은 확인되지 않았다. 플랫폼 내에서 취약점 없이 안전하게 운영할 수 있는지에 대해서는 입증되지 않았기 때문이다. 보안위협에 대응하기 위한 안전장치가 필요한 이유다. 전문가들은 블록체인 노드를 프라이빗에 구축할 때 물리적으로 같은 공간에 두지 말라고 조언한다. 합의를 가로챌 수 있는 위·변조 환경을 만들 수도 있기 때문이다. 블록체인 시스템 설계 때 취약점은 반드시 존재한다는 전제 하에 방어대책을 수립하고 시스템을 구축해야 한다. 시큐어코딩, 모니터링, 취약점 점검 등도 병행돼야 한다.

가장 큰 문제는 암호화를 진행하고 보안성을 얹을수록 가용성이 떨어지는 문제를 해결해야 한다는 점이다. 아직 블록체인 보안 전문가도 부족하고 관련 원천기술 확보도 미비하지만, 국내에서 블록체인 산업의 건전한 발전을 도모하려면 보안과 효율을 모두 잡을 수 있는 노력이 선행돼야 한다. 이를 원천적으로 해결하지 못하면 블록체인 내에서의 보안 이슈는 끊임없이 제기되고, 블록체인 시스템 효율을 올리는 데 어려움을 겪을 수밖에 없다.

<이상일 기자> 2401@ddaily.co.kr
<최민지 기자>cmj@ddaily.co.kr
박기록
rock@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널